IT/OT-Security · NIS2 · KRITIS

Sicherheit für die Systeme,
die nicht ausfallen dürfen.

Ich unterstütze Betreiber kritischer Infrastrukturen und Industrieunternehmen dabei, ihre IT- und OT-Umgebungen resilient abzusichern — und NIS2-Anforderungen pragmatisch, nachweisbar und ohne Betriebsunterbrechung umzusetzen.

Wissensbereich entdecken Über mich
Über mich

Beratung an der Schnittstelle von IT, OT und Regulierung

SL
Profilbild — Platzhalter

Silas Liedmann — Berater für OT-Security und Compliance. Mein Fokus liegt auf Umgebungen, in denen Verfügbarkeit nicht verhandelbar ist: Produktionsanlagen, Energie- und Wasserversorgung, Leittechnik und industrielle Netzwerke.

Ich begleite Unternehmen vom ersten Reifegrad-Assessment über die Segmentierung von IT- und OT-Netzen bis zur auditfesten Dokumentation gegenüber Aufsichtsbehörden. Dabei übersetze ich regulatorische Anforderungen — NIS2, KRITIS-Verordnungen, IEC 62443, ISO 27001 — in Maßnahmen, die im Anlagenbetrieb tatsächlich funktionieren.

Mein Anspruch: Sicherheit, die den Betrieb schützt, statt ihn zu behindern. Keine Papier-Compliance, sondern belastbare, gelebte Resilienz.

OT-/ICS-Security NIS2 & KRITIS IEC 62443 ISO 27001 Incident Response
Wissensbereich

NIS2 — die EU-Richtlinie im Überblick

Die NIS2-Richtlinie hebt Cybersicherheit europaweit auf ein verbindliches Mindestniveau. Sie betrifft deutlich mehr Unternehmen als ihre Vorgängerin — und nimmt erstmals die Geschäftsleitung persönlich in die Pflicht.

🎯

Wer ist betroffen?

Wesentliche und wichtige Einrichtungen aus 18 Sektoren — u. a. Energie, Wasser, Verkehr, Gesundheit, digitale Infrastruktur und verarbeitendes Gewerbe. Faustregel: ab 50 Mitarbeitenden oder 10 Mio. € Umsatz. Auch Zulieferer geraten über Lieferkettenpflichten in den Anwendungsbereich.

📋

Zentrale Pflichten

Risikomanagement, Absicherung der Lieferkette, Business Continuity, Verschlüsselung, Zugriffskontrolle und Schulungen. Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen und nachweisbar dokumentiert sein.

⏱️

Meldepflichten

Erhebliche Sicherheitsvorfälle sind mehrstufig zu melden: Frühwarnung innerhalb von 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat. Das erfordert eingeübte Prozesse — nicht nur ein Formular.

⚖️

Haftung der Leitung

Geschäftsleitungen müssen Risikomanagement-Maßnahmen billigen, überwachen und sich schulen lassen. Bei Verstößen drohen persönliche Haftung sowie Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

🔗

Lieferkette im Fokus

Die Sicherheit direkter Zulieferer und Dienstleister ist Teil des eigenen Risikomanagements. Verträge, Mindestanforderungen und Audits gegenüber Partnern werden damit zum Compliance-Baustein.

🧭

Der pragmatische Einstieg

Betroffenheit prüfen → Gap-Analyse gegen die Pflichtenkataloge → Maßnahmen priorisieren → Meldewege und Verantwortlichkeiten festlegen. Wer strukturiert startet, verwandelt Regulierung in echten Sicherheitsgewinn.

Abstraktes Netzwerk — vernetzte Systeme in Europa

Warum jetzt handeln?

  • Nationale Umsetzung läuft: Registrierungs- und Nachweispflichten greifen — Abwarten verkürzt nur die eigene Vorlaufzeit.
  • Aufbau braucht Zeit: Asset-Inventar, Prozesse und Meldeketten entstehen nicht in Wochen, sondern in Monaten.
  • Kunden fragen bereits: Große Auftraggeber verlangen NIS2-Konformität längst in Ausschreibungen und Lieferantenaudits.
Wissensbereich

OT-Security — andere Regeln als in der IT

Operational Technology steuert physische Prozesse: Turbinen, Pumpen, Fertigungslinien. Hier zählt Verfügbarkeit vor Vertraulichkeit — und klassische IT-Sicherheitsrezepte können mehr Schaden anrichten als der Angreifer.

  • Lange Lebenszyklen: Anlagen laufen 15–30 Jahre. Legacy-Systeme ohne Patches sind der Normalfall, nicht die Ausnahme — Schutz muss um sie herum gebaut werden.
  • Kein einfaches Patchen: Ein Neustart der Steuerung kann Produktionsstillstand bedeuten. Wartungsfenster sind rar und teuer.
  • Safety vor Security: Fehlgeleitete Sicherheitsmaßnahmen (z. B. aktive Scans im Feldbus) können reale physische Gefahren erzeugen.
  • Proprietäre Protokolle: Modbus, PROFINET & Co. kennen oft weder Authentifizierung noch Verschlüsselung — Sichtbarkeit und Segmentierung sind die wirksamsten Hebel.
  • IT/OT-Konvergenz: Fernwartung, Cloud-Anbindung und IIoT reißen die alte "Air Gap" ein. Übergänge müssen kontrolliert und überwacht werden.
Industrieanlage — Operational Technology im Einsatz
KriteriumKlassische ITOT / ICS
Schutzziel-PrioritätVertraulichkeit → Integrität → VerfügbarkeitVerfügbarkeit → Integrität → Vertraulichkeit
Lebenszyklus3–5 Jahre15–30 Jahre
Patch-ManagementRegelmäßig, automatisiertNur in Wartungsfenstern, oft herstellerabhängig
Folgen eines AusfallsDatenverlust, ProzessverzögerungProduktionsstillstand, Umwelt- und Personenschäden
LeitstandardISO 27001IEC 62443
🗺️

1 · Sichtbarkeit schaffen

Vollständiges Asset-Inventar und passives Netzwerk-Monitoring — man kann nur schützen, was man kennt.

🧱

2 · Zonen & Conduits

Segmentierung nach IEC 62443: Netze in Zonen gleichen Schutzbedarfs teilen, Übergänge über kontrollierte Conduits führen.

🛰️

3 · Zugriffe härten

Fernwartung über gesicherte Sprungserver, MFA und Aufzeichnung — der häufigste Angriffsweg in die OT wird kontrollierbar.

Infobereich

KRITIS — Schutz kritischer Infrastrukturen

Kritische Infrastrukturen sind Einrichtungen, deren Ausfall die Versorgung der Bevölkerung erheblich gefährden würde. Ihr Schutz ist gesetzlich geregelt — und gesellschaftlich unverzichtbar.

Energieinfrastruktur — kritische Versorgung

Was Betreiber leisten müssen

  • Stand der Technik: Angemessene organisatorische und technische Vorkehrungen — regelmäßig nachzuweisen gegenüber dem BSI.
  • Systeme zur Angriffserkennung: Kontinuierliches Monitoring und Detektion sind verpflichtend, nicht optional.
  • Meldewesen: Erhebliche Störungen sind unverzüglich an das BSI zu melden — mit klaren internen Meldeketten.
  • Resilienz gesamtheitlich denken: Neben Cyber- auch physische Sicherheit, Personal und Krisenmanagement (Stichwort CER-Richtlinie / KRITIS-Dachgesetz).

Energie

Stromerzeugung, Netze, Gas und Kraftstoffversorgung — das Rückgrat aller übrigen Sektoren.

💧

Wasser

Trinkwasserversorgung und Abwasserbeseitigung mit hochverfügbarer Leit- und Fernwirktechnik.

🏥

Gesundheit

Krankenhäuser, Labore und Pharmaproduktion — Ausfälle wirken unmittelbar auf Menschenleben.

🚆

Transport & Verkehr

Bahn, Luftfahrt, Schifffahrt und Logistik mit komplexen, vernetzten Leitsystemen.

📡

IT & Telekommunikation

Rechenzentren, Netze und Dienste, auf denen alle anderen Sektoren aufbauen.

🏦

Finanz- & Versicherungswesen

Zahlungsverkehr und Kapitalmärkte — Vertrauen ist hier die kritischste Ressource.

Blog

Aktuelle Beiträge

Praxisnahes Wissen zu NIS2, OT-Security und KRITIS — kompakt aufbereitet für Entscheider und Umsetzer.

Cybersecurity — Schloss-Symbolik auf Laptop

NIS2-Umsetzung im Mittelstand: Der pragmatische Fahrplan

Viele mittelständische Unternehmen unterschätzen ihre Betroffenheit — und überschätzen den Aufwand. Ein strukturierter 5-Phasen-Ansatz macht die Umsetzung planbar.

Der erste Schritt ist immer die Betroffenheitsanalyse: Sektor, Unternehmensgröße und Rolle in der Lieferkette entscheiden über den Anwendungsbereich. Wer hier sauber dokumentiert, schafft die Grundlage für alles Weitere.

Danach folgt die Gap-Analyse gegen die zehn Mindestmaßnahmen der Richtlinie — vom Risikomanagement bis zur Kryptografie. Erfahrungsgemäß sind 40–60 % der Anforderungen in gewachsenen ISMS-Strukturen bereits teilweise erfüllt; es fehlt meist an Nachweisbarkeit und an der OT-Abdeckung.

Die Priorisierung sollte risikobasiert erfolgen: Meldeprozesse und Verantwortlichkeiten zuerst, denn sie sind bei einem Vorfall sofort prüfungsrelevant. Technische Härtung und Lieferkettenmanagement folgen in geplanten Wellen — so bleibt das Projekt budgetierbar und das Tagesgeschäft unberührt.

Platine in Nahaufnahme — industrielle Steuerungstechnik

OT-Risikoanalyse leicht gemacht: In 5 Schritten zum Maßnahmenplan

Eine OT-Risikoanalyse muss weder Monate dauern noch die Produktion stören. Mit der richtigen Methodik entsteht in wenigen Wochen ein belastbarer Maßnahmenplan.

Schritt 1 ist das Asset-Inventar — passiv erhoben, ohne aktive Scans im Produktionsnetz. Schritt 2 gruppiert die Assets in Zonen gleichen Schutzbedarfs nach IEC 62443.

In Schritt 3 werden Bedrohungsszenarien je Zone bewertet: Was passiert, wenn diese Steuerung ausfällt oder manipuliert wird? Die Folgenabschätzung erfolgt gemeinsam mit den Anlagenverantwortlichen — sie kennen die physischen Konsequenzen am besten.

Schritt 4 leitet daraus Ziel-Security-Level und konkrete Maßnahmen ab, Schritt 5 priorisiert nach Risikoreduktion pro investiertem Euro. Das Ergebnis: ein Maßnahmenplan, den sowohl die Geschäftsführung als auch der Betriebsleiter unterschreiben kann.

Netzwerkkabel — IT/OT-Konvergenz

IT/OT-Konvergenz: Warum die Firewall allein nicht reicht

Die Grenze zwischen Büro-IT und Anlagennetz verschwindet. Wer Konvergenz nur mit einer Firewall beantwortet, übersieht die eigentlichen Risiken.

Fernwartungszugänge, MES-Anbindungen und IIoT-Sensorik schaffen Dutzende Übergänge zwischen IT und OT — viele davon undokumentiert. Eine einzelne Perimeter-Firewall bildet diese Realität nicht ab.

Wirksamer ist ein Zonenmodell mit kontrollierten Conduits: Jeder Übergang wird inventarisiert, minimiert und überwacht. Eine industrielle DMZ entkoppelt Datenflüsse, sodass kein direkter Pfad vom Internet bis zur Steuerung existiert.

Ergänzend braucht es Detektion im OT-Netz selbst: Anomalie-Erkennung auf Protokollebene entdeckt Manipulationen, die am Perimeter längst vorbei sind. Erst diese Kombination macht Konvergenz beherrschbar.